Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Archive for the ‘Forefront’ Category

Outlook Social Connector – XING

Posted by JoergS - 1. Juli 2013

Hi,

wir verteilen bei uns gerade die neue Version vom Outlook Social Connector  und dem XING Connector. Bei dem Xing-Connector gabe es jedoch ein Problem.
Ist der Rechner im internen Netzwerk, kann keine Verbindung mit dem Xing-Server hergestellt werden:

outlook-social-xing-connector

outlook-social-xing-connector

Da wir als Proxy TMG einsetzen, sind die Aufrufe nicht authentifiziert:

tmg-xing-blocked

tmg-xing-blocked

LÖSUNG:

Eine Ausnahme Regel für die IP 2.18.249.135 (Akmai Server) erstellen.

tmg-rule-wihout-proxy

tmg-rule-wihout-proxy

tmg-akmai-server

tmg-akmai-server

Dann funktioniert auch der Zugriff auf die XING Konatke:

tmg-xing-allowed

tmg-xing-allowed

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Fehler, Forefront | Verschlagwortet mit: , , , , , , | 1 Comment »

TFS 2012 externer Zugriff über Forefront TMG – Fehler 401 am TFS Webserver

Posted by JoergS - 4. April 2013

Hi,

wir haben heute einen TFS 2012 Server nach außen über das Forefront TMG 2010 veröffentlicht. Besonderheit sollte aber sein, dass die Authentifizierung per Kerberos erfolgen sollte. Dazu wurde am TFS2012 auch schon die Kerberos Authentifizierung aktiviert und konfiguiert, ebenso wurden auch die SPN´s für das TMG Computer Objekt und den TFS-DomainUser erstellt (http/tfsserver.domain.local).

Der interne Zugriff auf den TFS per http://tfsserver.domain.local:8080/tfs und auch per SSL https://tfsserver.domain.local/tfs funktionierte.

Nach dem Einrichten der Publishing Rule auf dem TMG und der Konfiguration der Kerberos Constrained Delegation auf dem TMG erhielten wir aber vom TFS einen 401 (2 5)Fehler beim Aufruf von https://tfs.domain.de/tfs.

Nach langer Fehlersuche fanden wir den Fehler! Auf dem /tfs Verzeichnis der Team Foundation Website war nur der NTLM Authentication Provider in der Windows Authentication aktiv. Nach dem hinzufügen des „Negotiate“ Authentication Providers funktionierte auch der externe Zugriff über die Veröffentlichung auf den TFS!

tfs-kerberos-authentication-provider-negotiate

tfs-kerberos-authentication-provider-negotiate

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Fehler, Forefront | Verschlagwortet mit: , , , , , , , | Leave a Comment »

TMG 0x80070008 ERROR_NOT_ENOUGH_MEMORY

Posted by JoergS - 21. Januar 2013

Hi,

ein Kunde von uns mailte mich heute heute an, dass er im TMG Log den Fehler „TMG 0x80070008 ERROR_NOT_ENOUGH_MEMORY“ erhält.

tmg-error0x80070008

tmg-error0x80070008

Eine Suche nach dem Fehler im Internet führte uns nur zu Artikeln über ISA 2006 und auch nicht zu dem Problem, was hier vorlag.

Nach einer weiteren Suche in der Konfig, fand sich dan der Fehler:

Es wird eine SIP Kommunikation per Port 5060 aufgebaut. In der TMG Konfig war das SIP Protokol mit dem Port 5060 aber 2x als Protokol angelegt, einmal als SIP und CustomWebkonferenz.

Nach dem Löschen des doppelten Protokolls und der nicht mehr benötigten Firewall Regeln, trat der Fehler dann auch nicht mehr auf.

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Fehler, Forefront | Verschlagwortet mit: , , , , , , | Leave a Comment »

Forefront TMG SP2 UR3 verfügbar

Posted by JoergS - 10. Januar 2013

Hi,

Microsoft hat das Updaterollup 3 für das Forefront Threat Management Gateway (TMG) 2010 Servicepack 2 zum Download zur Verfügung gestellt:
http://support.microsoft.com/kb/2735208

Na dann, Viel Spass beim selber Testen
CU

Posted in Edge, Forefront | Verschlagwortet mit: , , , | Leave a Comment »

FTP Uploads von kleinen Dateien bricht ab Gateway ISA2006

Posted by JoergS - 6. Dezember 2012

Hi,

ein Kunde meldete sich heute bei mir, er hat ein Problem mit dem Upload von vielen kleinen FTP Dateien zu einem Zielsystem. Sein eigenes Netz ist durch einen ISA2006 abgegrenzt.

Beim Transfer (Upload) von einer oder mehreren (10) großen Dateien gab es keine Probleme. Aber wenn er viele kleine Dateien (mehrere Hundert) von seinem Rechner zum Zielsystem transferieren wollte, wurden X Dateien transferiert und danach brach der Client die Verbindung ab.

Im ISA2006 Live Logging waren aber keine Fehler erkennbar, zum Zeitpunkt des Abbruchs.

Nach einigen Tests und Troubleshootings haben wir dann mal, zum Test die Flood Mitigation vom ISA2006 deaktiviert.

isa-flood-mitigation-settings

isa-flood-mitigation-settings-disable

Nach der Deaktivierung funktioniert der komplette Transfer aller Dateien ohne Unterbrechungen. Also war zumindest grob die Ursache der Unterbrechungen ausgemacht.

Nach weiteren Analysen und Tests haben wir die „Maxium Half-open TCP Connections“ als Ursache ausgemacht, da der FTP Client für jede Datei eine Verbindung herstellt.
Da die Werte für die „Maxium Half-open TCP Connections“ aber nicht änderbar sind muss man, die „“Maxium concurrent TCP Connections per IP Address“ vom Standardwert (160) erhöhen, hier z.b. 260.

isa-flood-mitigation-settings-tcp-concurrent

isa-flood-mitigation-settings-tcp-concurrent

Damit ändern sich auch die  „Maxium Half-open TCP Connections“ von 80 auf 130 (immer die Hälfte).

isa-flood-mitigation-settings-tcp-halfopen

isa-flood-mitigation-settings-tcp-halfopen

Somit kann der FTP Client jetzt ohne Unterbrechungen erfolgreich alle Dateien per FTP hochladen.

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Fehler, Forefront | Verschlagwortet mit: , , | Leave a Comment »

Lync 2013 Client Proxy Abfrage

Posted by JoergS - 2. November 2012

Hi,

ein Kollegen hat mich auf eine Auffälligkeit des Lync 2013 Client hingewiesen, dass beim Start oder während der Nutzung des neuen Lync 2013 Client,  verlangt der Client eine Proxy Authentifizierung aus unserem internen Netz beim Proxy.

Ich habe mit ihm das Verhalten dann mal analysiert: Diese Abfrage kommt aber NICHT vom Lync Client oder dem Aufruf der Lync Server.
Ursache ist der Office/Outlook Social Connector, welcher sich zu xing.com verbinden möchte:

[UPDATE:]
Es müssen die richtigen DNS Einträge gesetzt sein für lyncdiscover.domain.de und lyncdiscoverinternal.domain.de wie auch lyncdiscoverinternal.domain.local.
Weiterhin sollte am TMG/ISA eine Regel eingerichtet werden, dass der die Lync Clients als „all users“ zu den gepublishten Servern gelangen (also ohne Authentifizierung).
Der Lync Client versucht die Bilder der Benutzer runterzuladen vom Adressbuch per Zugriff von „Außen“

Mit dem Lync 2013 CU1 scheint der Fehler der Proxy Authentifizierung auch behoben.[/UPDATE]

 

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Fehler, UC | Verschlagwortet mit: , , , , , , , , | Leave a Comment »

Microsoft Forefront Threat Management Gateway (TMG) wird eingestellt

Posted by JoergS - 12. September 2012

Hi,

ohne Vorwarnung hat Microsoft die neue Roadmap (Important Changes to Forefront Product Roadmaps) für die Forefront Produktreihe veröffentlicht:

Important Changes to Forefront Product Roadmaps

Today, as a result of our effort to better align security and protection solutions with the workloads and applications they protect, Microsoft is announcing changes to the roadmaps of some of the security solutions made available under the Forefront brand.

  1. As part of this effort, the next release of Forefront Online Protection for Exchange, which has long been part of the Office 365 solution, will be named Exchange Online Protection.
  2. In response to customer demand, we are adding basic antimalware protection to Exchange Server 2013. This protection can be easily turned off, replaced, or paired with other services (like Exchange Online Protection) to provide a layered defense.
  3. We are discontinuing any further releases of the following Forefront-branded solutions:
  • Forefront Protection 2010 for Exchange Server (FPE)
  • Forefront Protection 2010 for SharePoint (FPSP)
  • Forefront Security for Office Communications Server (FSOCS)
  • Forefront Threat Management Gateway 2010 (TMG)
  • Forefront Threat Management Gateway Web Protection Services (TMG WPS)

For collaboration protection, SharePoint and Lync Servers will continue to offer the built-in security capabilities that many customers use to protect shared documents. For remote access, DirectAccess and Routing and Remote Access Server (RRAS) VPN in Windows Server 2012 provide secure remote access for Windows and cross-platform clients, as well as cross-premise access through site to site VPN. Forefront Unified Access Gateway (UAG) 2010 also continues to provide secure application publishing and cross-platform SSL VPN remote access for a range of mobile devices.

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Forefront, Neuigkeiten | Verschlagwortet mit: , , | Leave a Comment »

Forefront TMG Firewall Service Stopp EventId 14057

Posted by JoergS - 28. Juni 2012

Hi,

Marc und Dieter haben ja schon drüber berichtet:

seit gestern Nacht scheint auf einer Vielzahl von Forefront TMG Servern mit installiertem SP2 ohne zusaetzliche Hotfixe der Microsoft Forefront TMG Firewall Dienst zu stoppen. Ich habe heute bereits zwei Kundenanrufe und einige E-Mails von Kunden erhalten welche von diesem Problem berichten.
In einer Forefront Mailingliste werden diese Probleme von einer Vielzahl von TMG Systemen weltweit berichtet.
Das Problem scheint mit Forefront TMG SP2 Rollup 1 behoben zu sein:
http://support.microsoft.com/kb/2658903
Am besten gleich SP2 Rollup 2 installieren
Weitere Erkenntnisse sind zum jetzigen Zeitpunkt noch nicht bekannt. Updates folgen
Update 29.06.2012: http://blogs.technet.com/b/isablog/archive/2012/06/29/tmg-services-stopping-unexpectedly.aspx

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Forefront, Probleme | Verschlagwortet mit: , , | Leave a Comment »

Forefront TMG SP2 Rollup 2 verfügbar

Posted by JoergS - 7. Mai 2012

Hi,

das Forefront TMG SP2 Rollup 2 ist von Microsoft zur Verfügung gestellt worden.

Build Number ist: 7.0.9193.540

Download und alle Fixes: http://support.microsoft.com/kb/2689195

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Forefront | Verschlagwortet mit: , , | Leave a Comment »

Forefront TMG/UAG DirectAccess und Fun mit Vodafone UMTS

Posted by JoergS - 17. Januar 2012

Hi,

ich habe in den letzten Tagen eine interessante Geschichte mit einem unserer Windows 7 Clients, Forefront TMG/UAG DirectAccess und Vodafone UMTS erlebt.
Marc Grote hat ja glücklicherweise schon in seinen Artikeln (DA Fun Vodafone und DA Fun T-Mobile) rausgefunden, dass Direct Access nur über den APN „volume.d2gprs.de“ funktioniert.

Das haben wir auf unseren Windows 7 Clients eingetragen.
Auf einem unserer Windows 7 Clients hat sich folgendes ereignet. Der Client arbeitet bei Kunden in Hamburg (City Süd) und stellt dort über UMTS eine Internetverbindung her.
Wenn nun Direct Access die Tunnel aufbauen will scheitert der Verbindungsaufbau mit „0x80092013“, also dem Fehler, dass die CRL nicht abgerufen werden kann.
Ein CERTUTIL -URL http://crl.domain.de/crld/CA.crl gibt auch einen Fehler

Macht man den IE (9) auf und gibt manuell die URL der CRl ein bekommt man die CRL zu fassen und kann sie erreichen/runterladen

Jetzt kommt´s:
Geht der Client über sein LG-E900 Windows Phone 7, was zum Glück schon Mango (7.5) + neustes Update drauf hat und somit Internet Connection Sharing machen kann, funktioniert Direct Acces und der Abruf der CRL!

Gleich Netz, alles Vodafone!

Mal sehen, was genau die Ursache ist, aber dieser ZDnet Artikel (http://www.zdnet.de/magazin/41515603/internet-per-umts-so-faelschen-deutsche-provider-webinhalte.htm) macht mich schon stutzig …

Na dann, Viel Spas beim selber Testen!
CU

Posted in Edge, Fehler, Forefront | Verschlagwortet mit: , , , , , , | Leave a Comment »

 
%d Bloggern gefällt das: